CVE-2026-9809 in Mautic
Tóm tắt
Bởi VulDB • 29/05/2026
Một lỗ hổng Cross-Site Scripting (XSS) lưu trữ (stored) tồn tại trong thành phần Projects của Mautic 7. Khi hiển thị các thẻ dự án (project tags) và các cửa sổ pop-over trên các trang chi tiết quản trị (như chiến dịch, email hoặc biểu mẫu), tên dự án do người dùng cung cấp được hiển thị mà không được kiểm tra và làm sạch đúng cách. Một người dùng đã xác thực có quyền tạo hoặc chỉnh sửa dự án có thể khai thác lỗ hổng này để chèn các đoạn mã độc hại. Khi một người dùng quản trị xem một thực thể liên quan đến một dự án đã bị xâm phạm và di chuột qua thẻ của dự án đó, đoạn mã độc sẽ được thực thi trong ngữ cảnh của phiên trình duyệt đang hoạt động của họ. Điều này có thể cho phép kẻ tấn công thực hiện các hành động quản trị thay mặt nạn nhân, thay đổi cấu hình hệ thống hoặc đánh cắp dữ liệu nhạy cảm.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.